Hardening réseau — Durcissement des équipements
Le hardening (durcissement) réseau consiste à réduire la surface d'attaque de l'infrastructure en supprimant tout ce qui n'est pas nécessaire et en appliquant les bonnes pratiques de configuration. En PME, c'est souvent négligé — et pourtant, c'est l'une des actions à plus fort impact.
Désactiver les services inutiles
Chaque service qui tourne sur un équipement réseau est une surface d'attaque potentielle. La règle : si vous n'utilisez pas un service, désactivez-le.
Sur un switch ou routeur Cisco :
no service finger
no service pad
no service udp-small-servers
no service tcp-small-servers
no ip bootp server
no cdp run # Si pas besoin de CDP (Cisco Discovery Protocol) côté WAN
Sur pfSense : System → Advanced → désactiver les services non utilisés (SSH si pas nécessaire, captive portal, etc.)
Changer les ports par défaut
Les attaquants scannent automatiquement les ports par défaut. Changer le port d'administration réduit le bruit :
- SSH : passer du port 22 au 2222 ou un port > 10000
- Interface web d'administration : passer de 80/443 à un port non standard (ex: 8443)
- RDP : passer de 3389 à un autre port
Attention : changer le port n'est pas une protection suffisante seule — un scan complet (-p-) retrouvera le port. C'est une mesure de réduction du bruit, pas de sécurité.
Bannières d'avertissement
Configurer une bannière de connexion sert deux objectifs :
- Dissuader les attaquants (avertissement légal)
- Base légale pour les poursuites : sans bannière, il est difficile de prouver qu'un accès était non autorisé
Exemple de bannière Cisco :
banner motd ^
Accès réservé au personnel autorisé.
Toute connexion non autorisée est illégale et sera tracée.
^